市佔率第一的前瞻性企業安全領導廠商ISS於本月17日宣布其X-Force研究發展團隊發現Inter-Asterisk eXchange protocol第二版(IAX2) 存在兩個安全漏洞。這兩個漏洞若被利用,將導致使用Asterisk private branch exchange (PBX) 的辦公室電話或網路系統完全無法使用。
Asterisk是一個開放原始碼的免費應用程式,可讓企業執行所有傳統通訊的功能,包括了語音信箱、通訊會議、語音服務系統、來電等待、三方通話以及話方來電顯示的功能。
ISS 資訊技術長Chris Rouland指出:「VOIP的使用者必須小心,因為不是只有拒絕服務的漏洞存在於PBX的系統中 (例如Asterisk所發現的漏洞)、潛在VOIP協定的弱點也可能使企業暴露於網路釣魚的威脅造成重要資訊被竊取或透過VOIP網路傳送垃圾郵件」。使用ISS的前瞻性安全防禦系統,企業可避免VOIP的弱點導致潛在生產力降低及企業溝通不良的問題。
ISS X-Force研究發展團隊發現在Asterisk PBX中用於VOIP語音轉換及通話內容的服務IAX2中存在拒絕服務的漏洞。駭客可利用此漏洞不斷要求通話來佔滿通話服務,藉此讓通話系統停止處理新的來電。
ISS X-Force研究發展團隊發現的第二個漏洞則可讓駭客在不需要輸入帳號、密碼的情況下,利用Asterisk PBX製造大量的流量癱瘓網路的頻寬。此網路流量可被利用於塞爆使用者的網路連線、並導致網路服務完全中斷。除此之外,受害者的通話服務品質也將受到損害。
Asterisk已經公佈此漏洞的安全修補程式。Asterisk的使用者請直接更新或確定內部並無使用IAX2的服務。Asterisk的使用者請確定在PBX系統中沒有一個帳號沒有設定密碼,詳細情形可參考網址:http://www.asterisk.org。
ISS為企業提供前瞻性的安全防護,讓企業能早先威脅一步預先做好資安防禦措施,以達成企業運行不中斷的理想。
台灣區代理商 數聯資安(ISSDU)簡介
數聯資安股份有限公司以提供「全方位資訊完整解決方案」為主要服務項目,累積多年國內首屈一指資訊安全專業技術,代理銷售國際知名資安品牌ISS、Blue Coat、CP Secure、Kaspersky、Citrix/NetScaler(Teros)、CA eSCC、Intellitactics NSM與Mercury系統監控優化等。此外,資訊安全委外監控服務 (MSS)、資訊安全課程教育訓練 (Training Center),及資訊安全顧問服務等,均屬於服務的範疇。數聯資安透過完整的全省經銷與服務體系,為國內最大資訊安全解決方案提供商。同時擁有臺灣地區最早第一座且是唯一與全世界同步防禦的資訊安全監控中心 (U-SOC);經由專業的G-Expert網路安全團隊,彙整全球各式風險資訊,針對客戶之需求,提供客戶最完整和即時的防護服務。相關資訊請參考www.issdu.com.tw 。
熱門新聞
2025-03-03
2025-03-03
2025-03-05
2025-03-05
